[发明专利]计算机系统的安全防护设置方法及其设备

说明书

技术领域

本发明涉及计算机系统的安全防护设置方法及其设备，尤其是涉及到在支持数据执行保护功能的计算机中，有选择地中止防止有权限的用户运行特定程序的计算机系统的安全防护设置方法及其设备。

背景技术

当前，人们的生活越来越依靠网络。计算机的功能也从原来简单的文字操作，逐渐增加到传收电邮、股票交易、交纳税金、网络银行及电子商务等。

但是，网络和电脑是一个开放的体系，各种病毒、蠕虫程序、本马程序及恶意交易等都威胁着系统的安全。而且，随着网上银行、网上购物等应用的越来越广泛，窃取他人信息的黑客技术也越来越多。由于计算机系统及网络安全防护措施的漏洞，个人信息被盗或金融案件时常发生，不仅个人信息流失而且还会造成经济损失。

为解决上述问题，CPU制造商、操作系统(OS)开发商、网络设备制造商、主板制造商等各商家都在各自的产品上追加了安全防护功能。例如，防火墙、杀毒系统、OS/应用补丁、虚拟专用网(Virtual Private Network：VPN)、入侵检测系统(Int rusion Detection System：IDS)等。

但是，上述各种安全防护措施都具有各自的弱点，利用现有的安全防护系统，应付不了越来越高级、复杂化的攻击。因此需要能够从根本上解决问题的措施。

其中的一种能够从根本上解决问题的措施是数据执行保护(DEP：DataExecution Prevention)功能。数据执行保护功能是为防止恶意代码在系统中运行，而对存储器进行追加确认的硬件及软件技术。使用数据执行保护功能可以防止在存储器中应该使用操作系统或其它程序的位置上执行恶意代码，从而免受病毒和其它危险的攻击。

数据执行保护功能具有可以防止代码在数据页中运行的优点。可以保证正常的程序只在代码区域运行，而不侵入到不必要的数据区域。数据执行保护功能将存储器的代码区和数据区中的数据区中运行的代码识别为不法(恶意程序)程序，在运行前就将其删除。

硬件适用的数据执行保护(DEP)功能对数据页面中运行的代码进行检索，如果显示为意外事件，则对意外事件进行处理；软件适用的数据执行保护(DEP)功能则可以有效地防止恶意代码利用Windows的意外处理技术对系统进行攻击。

数据执行保护功能，利用CPU核心支持这种技术的功能，在判明是包含了可以执行的代码时，其它的应用程序内的所有存储区域都被标识为″不可执行区域″。如果想在程序受保护的位置运行代码，数据执行保护(DEP)要关闭相应的程序。这样，在被标识的存储区域，即使受到蠕虫程序或病毒的攻击，Windows本身的组件也不会运行存在危险的代码。

数据执行保护功能，作为应用程序，不可以被删除或修改，在没有恶意代码时也会运行。在使用网络银行等功能时，由于数据执行保护功能，会出现应用程序运行失败的对话窗口，强行关闭网页浏览器。因此，如果设置了数据执行保护功能，就会出现具有正当权限的用户不能使用需要的程序的问题。

发明内容

本发明正是为解决上述问题而提出的，本发明的目的是提供一种在具有数据执行保护功能的计算机系统中可以变更计算机系统的安全防护等级的方法。

本发明的另一个目的是提供一种利用在BIOS(基本输入输出系统的简称)安全设置(setup security)中对其它用户对网络银行或个人安全信息相关的程序的操作进行认证的数据执行保护功能的计算机系统安全防护设置设备。

为了实现上述目的，依据本发明的计算机系统安全防护设置方法，其特征在于，具有数据执行保护功能的计算机系统的计算机安全防护等级设置由以下几个步骤构成：

在用户模式下设置数据执行保护功能的步骤；

将″是否执行显示比特″设置操作，设置为可执行(enable)状态的步骤；

对用户访问进行认证，确认用户是否有权限的步骤；

如果是有权限的用户，则将″是否执行显示比特″设置操作变更为可执行(enable)的状态的步骤。

本发明中将用户没有选择的所有程序及服务都显示为是数据执行保护功能适用的模式。

依据本发明，对计算机系统的安全防护等级进行变更时用户认证步骤最好在基本输入输出系统设置(BIOS setup)操作的安全防护操作设置步骤中进行。

本发明的方法中，将″是否执行显示比特″设置操作变换成不可执行状态时，停止运行数据执行保护功能。